#amazon-web-services #amazon-vpc #amazon-efs
#amazon-web-services #amazon-vpc #amazon-efs
Вопрос:
На этот простой вопрос не удалось найти ответ в документах.
Кто-нибудь знает наилучшую практику для решения этой проблемы?
Я предполагаю, что он частный, но хотел понять, почему, если это так.
Ответ №1:
Вы должны размещать в общедоступной подсети только те объекты, к которым вы хотите получить доступ извне VPC. Рекомендуется использовать только общедоступные балансировщики нагрузки и шлюзы NAT в общедоступной подсети. Это обеспечивает дополнительный уровень сетевой безопасности, гарантируя, что ваши важные ресурсы доступны только изнутри VPC.
Итак, в этом случае вы хотели бы разместить монтирование EFS в своих частных подсетях.
Ответ №2:
В AWS мы обычно используем частную подсеть для большинства интеграций сервисов. Некоторые службы не работают при подключении к общедоступной подсети. например, Lambda при подключении к VPC не работает должным образом, если используется общедоступная подсеть. То же самое касается заданий на склеивание и сканеров.
[Редактировать: спасибо MarkB за вклад]Это потому, что ENI для таких вещей, как лямбда-функции, не присваивается общедоступный IP-адрес, только частный IP. Поэтому им нужен маршрут к шлюзу NAT для доступа к вещам за пределами VPC, и только частные подсети могут иметь маршрут к шлюзу NAT.
Комментарии:
1. Причина четко изложена в документации, если вы знаете, где искать. Это связано с тем, что ENI для таких вещей, как лямбда-функции, не присваивается общедоступный IP-адрес, только частный IP. Поэтому им нужен маршрут к шлюзу NAT для доступа к вещам за пределами VPC, и только частные подсети могут иметь маршрут к шлюзу NAT.
2. @MarkB Спасибо, я запомню это.